La guerra en Ucrania se desarrolla en dos planos. Uno en el que se ve, con las bombas cayendo, los niños huyendo y las embarazadas dando a luz como buenamente pueden. Los edificios derruidos, los tanques avanzando y las sirenas antiaéreas sonando se han convertido en un continuo en los 17 días que van de guerra.
Pero hay otra que no se ve, que no se puede tocar ni se puede oír, pero que es fundamental para que inocentes mueran y los cimientos de occidentes se descontrolen. Es la guerra que se juega en el ciberespacio.
Hace unos días, EL ESPAÑOL publicó que el Centro Nacional de Inteligencia (CNI) alerta de que España lleva sufriendo ciberataques dirigidos "a influir o alterar opiniones haciendo un uso intencionado, y generalmente planificado y organizado, de información dirigida a socavar la seguridad y estabilidad de los ecosistemas que conforman la sociedad".
Los servicios de inteligencia españoles no tienen dudas de que estas injerencias se producen desde Rusia, desde el seno del Kremlim y de los espías del país que dirige Vladimir Putin. Y apunta directamente a dos grupos de hackers: Fancy Bear y Cozy Bear.
Dos formas de actuar
“Son organizaciones promovidas por el Gobierno ruso, de eso no hay dudas”, explica José Lancharro, director de BlackArrow, la división de servicios ofensivos y defensivos de Tarlogic Security.
La forma de ‘trabajar’ de los dos grupos es distinta. También los nombres pueden variar, pero los más conocidos son APT28 para Fancy y APT29 para Cozy. “Los primeros dependen del FSB, que son los servicios de inteligencia exterior rusos. Sus objetivos son tangibles y se pueden medir: por ejemplo interferir en campañas electorales extranjeras o generar desprestigio a instituciones”, explica Lanchorro, que pone como ejemplo los ataques a Hillary Clinton cuando se prensentó a los comicios norteamericanos de 2016 o el asalto a los datos de los deportistas en las agencias antidopaje estadounidense y global. Su objetivo es desestabilizar a Occidente.
Cozy es otra cosa. “Son de naturaleza militar”, resumen Lancharro y el manager de BlackArrow, José Miguel Gómez-Casero. Silenciosos, sin llamar la atención, “son como un mal cáncer que se va expandiendo para conseguir toda la inteligencia posible durante el máximo tiempo posible sin llegar a un objetivo concreto, el objetivo es el camino”.
Cozy Bear es un corredor de fondo. Su ideal es permanecer años dentro de una de sus ‘víctimas’ hasta que puedan exprimirles toda la información relevante posible. Y en los últimos años han mejorado su técnica en las “permanencias”, que es como se conoce en el mundo de la ciberseguridad a la capacidad para que el día de mañana puedan volver entrar en sus objetivos para seguir consiguiendo información.
El ataque a SolarWinds
El objetivo de APT29 es pasar desapercibido. Que nadie se entere de que están ahí para hacer su trabajo. No les gusta la prensa, por eso se conoce menos sus operaciones y a ellos mismos. Una muy sonada fue la de SolarWinds.
Era finales de 2020 cuando Cozy consiguió colar un virus en una de las actualizaciones de Orion, una aplicación de monitorización y gestión de redes. Este programa, creado por SolarWinds, es uno de los más utilizados y su distribución mundial fue otro de sus principales quebraderos de cabeza.
Según un comunicado que publicó la propia empresa, alrededor de 18.000 organizaciones de todo el mundo habrían descargado la actualización infectada con el virus. Entre ellas, algunas instituciones tan delicadas como el Departamento del Tesoro, de Comercio y el de Seguridad Nacional de Estados Unidos.
“Pero entonces se descubrió que llevaban con esa operación desde verano de 2019. Imagínate, año y medio allí metidos sin que los detectaran. Algunos de nuestros especialistas han echado un ojo a aquello y tienen un nivel de sofisticación enfermizo”, explica Lancharro.
A esa técnica empleada contra SolarWinds se la conoce como post explotación, que no es más que saber moverse en la red para encontrar la información secreta de tus enemigos o ser capaz de llegar a la nube donde están alojados esos datos y sacarlos. Ahí es donde es bueno Cozy.
Fancy, por su parte, utiliza más la técnica del phising, que es un método para engañarle y hacer que comparta contraseñas, números de tarjeta de crédito, y otra información confidencial haciéndose pasar por una institución de confianza en un mensaje de correo electrónico o llamada telefónica. No es una técnica “muy avanzada intelectualmente, pero les funciona”.
Entre sus últimos hitos está una relacionada con el coronavirus. En julio de 2020, en plena pandemia y con los países como locos detrás de una solución, los Cozy Bear trató de robar la vacuna atancando a centros de investigación académicas y farmacéuticas que tratan de desarrollarla.
Malwares propios
No se sabe con exactitud cuántas personas están detrás de estos equipos pero “no menos de 15”, explican los expertos de BlackArrow, “más todos los que le dan soporte y mantenimiento”. Tanto Cozy como Fanzy utilizan malwares propios, “diseñados por o para ellos”, porque no está del todo claro si los desarrollan ellos mismos o en el Kremlin, “para que sea más difícil de detectarlos y detenerlos”, explica Lancharro, a lo que añade: “Desde el punto de vista técnico, ambos son muy sofisticados”.
“Hacen campañas paralelas, es decir que pueden llevar varias operaciones al mismo tiempo. Para eso mínimo necesitan de tres personas. Así que nuestros cálculos propios es que no pueden ser menos de 15”, afirma Gómez-Casero.
“En el caso de España es lógico que estemos en la lista de los objetivos como ha alertado el CNI”, dice el manager de BlackArrow. Bajo su punto de vista, las dos organizaciones tienen como objetivos instituciones europeas y de la OTAN. El envío de armas y el posiconamiento contra la invasión en Ucrania nos pone en el punto de mira.
“Como especialistas, nuestra recomendación es que hay que trabajar como si tuviesemos accesos a la información comprometido, tenemos que estar en guardia todos los días del año”, explica Lancharro.
En torno a la guerra en Ucrania los analistas andan un poco con la mosca detrás de la oreja. “Estos dos grupos están muy callados, muy silenciosos. Todavía no se les ha detectado movimiento, al menos que se hayan hecho públicos. No nos cabe duda que tienen objetivos ucranianos, pero que no se les detecte es una mala señal”.